Un afiliado de ransomware Qilin explotó una vulnerabilidad de día cero de VPN de Check Point durante un mes antes de que existiera un parche.

Un afiliado de ransomware Qilin explotó una vulnerabilidad de día cero de VPN de Check Point durante un mes antes de que existiera un parche.

      TL;DRCheck Point corrigió una vulnerabilidad crítica de día cero en VPN (CVE-2026-50751) que ha sido explotada desde el 7 de mayo por un afiliado de ransomware Qilin que apunta a docenas de organizaciones.

      Check Point ha divulgado y corregido una vulnerabilidad crítica de día cero en sus productos de VPN de Acceso Remoto y Acceso Móvil que un afiliado de ransomware Qilin explotó durante aproximadamente un mes antes de que estuviera disponible una solución. La falla, rastreada como CVE-2026-50751 con un puntaje CVSS de 9.3, permite a un atacante no autenticado eludir completamente la autenticación por contraseña y establecer una sesión VPN al explotar un error lógico en la validación de certificados.

      La vulnerabilidad afecta a las implementaciones de VPN configuradas para usar IKEv1, un protocolo de intercambio de claves obsoleto que Check Point aún admite para clientes de acceso remoto heredados. La compañía dijo en un aviso de seguridad publicado el domingo que detectó por primera vez actividad sospechosa el 4 de junio, pero la primera explotación confirmada data del 7 de mayo. Los ataques han aumentado significativamente este mes.

      Check Point describió el alcance como limitado a “unas pocas docenas de organizaciones objetivo a nivel mundial.” En al menos un caso, la actividad posterior a la explotación se vinculó a un afiliado de ransomware Qilin, un grupo motivado financieramente que ha dependido cada vez más de dispositivos VPN corporativos como su vector de acceso inicial preferido. Check Point dijo que los atacantes parecen estar explotando vulnerabilidades de VPN de múltiples proveedores, incluidos Palo Alto Networks, Fortinet y F5.

      “Creemos que esta infraestructura de actores de amenazas está explotando otras vulnerabilidades relacionadas con VPN, como las publicadas por Palo Alto, Fortinet y F5,” señaló Check Point. La compañía también identificó indicadores de que el actor puede usar el protocolo Tox para la comunicación, un patrón comúnmente asociado con operadores de ransomware. Los atacantes utilizaron servidores privados virtuales geolocalizados en el mismo país que sus objetivos para llevar a cabo las intrusiones, y luego intentaron descargar archivos ELF maliciosos de la infraestructura controlada por el actor.

      Los hallazgos se alinean con un patrón más amplio de explotación de día cero que se ha acelerado en 2026. El Grupo de Inteligencia de Amenazas de Google documentó el mes pasado cómo los actores criminales y patrocinados por el estado están aumentando su uso de vulnerabilidades previamente desconocidas, con dispositivos VPN y dispositivos de borde de red consistentemente entre las categorías más atacadas. Los cortafuegos, VPN y otros dispositivos de borde típicamente no proporcionan suficiente telemetría para detectar o detener estos ataques, creando lo que los investigadores llaman una brecha de visibilidad en toda la industria.

      La explotación exitosa de CVE-2026-50751 requiere que se cumplan simultáneamente cuatro condiciones: VPN de Acceso Remoto o Acceso Móvil deben estar habilitados, IKEv1 debe estar activo para acceso remoto, el gateway debe aceptar clientes de acceso remoto heredados, y no debe exigir un certificado de máquina para las conexiones. Check Point dijo que se requiere actividad adicional posterior a la autenticación para acceder a recursos internos o escalar privilegios, lo que significa que la sesión VPN por sí sola no otorga acceso completo a la red.

      Los productos afectados incluyen Gateways de Seguridad a través de múltiples versiones de firmware, desde R82.10 hasta versiones de fin de soporte R81, R81.10 y R80.40, así como cortafuegos Spark en R80.20.X, R81.10.X y R82.00.X. Spark es la línea de productos de Check Point para pequeñas y medianas empresas, lo que significa que la vulnerabilidad se extiende más allá de las implementaciones de grandes empresas a organizaciones con menos recursos para corregir rápidamente.

      La investigación de Check Point también descubrió una segunda vulnerabilidad, CVE-2026-50752, con un puntaje CVSS de 7.4, que podría permitir un ataque de adversario en el medio en conexiones VPN de sitio a sitio utilizando el mismo protocolo IKEv1 obsoleto. No hay evidencia de que CVE-2026-50752 haya sido explotada en la naturaleza. Ambas fallas se abordan en los parches que Check Point lanzó junto con la divulgación.

      El grupo de ransomware Qilin, también conocido como Agenda, ha sido uno de los actores de amenazas motivados financieramente más activos en 2026. Un informe de Ctrl-Alt-Intel publicado el mes pasado documentó el abuso sistemático del grupo de dispositivos VPN corporativos, específicamente dispositivos de WatchGuard y Fortinet, para acceso inicial, desplegando el marco de comando y control Sliver antes de finalmente impulsar binarios de ransomware que apuntan a entornos Linux, ESXi y Nutanix. El día cero de Check Point parece ser la última adición a ese manual.

Otros artículos

Revisión del Xteink X4: Dudé de este pequeño lector de e-books, pero mejoró mis malos hábitos de pantalla. Revisión del Xteink X4: Dudé de este pequeño lector de e-books, pero mejoró mis malos hábitos de pantalla. El Xteink X4 es fácil de pasar, más fácil de convertirse en parte de tu equipo diario, y un dispositivo irresistiblemente encantador que podría conquistar al bibliófilo que llevas dentro sin dañar tu bolsillo. El regreso de las exclusivas de Xbox comienza con Gears of War y Clockwork Revolution. El regreso de las exclusivas de Xbox comienza con Gears of War y Clockwork Revolution. Microsoft confirma que Gears of War: E-Day y Clockwork Revolution serán exclusivos de consola Xbox, y ambos también llegarán a PC y Game Pass. El regreso de las exclusivas de Xbox comienza con Gears of War y Clockwork Revolution. El regreso de las exclusivas de Xbox comienza con Gears of War y Clockwork Revolution. Microsoft confirma que Gears of War: E-Day y Clockwork Revolution serán exclusivos de consola Xbox, y ambos también estarán disponibles en PC y Game Pass. Apple finalmente lanza su reinvención de IA: Siri AI, una aplicación independiente, y una pila de privacidad de tres niveles. Apple finalmente lanza su reinvención de IA: Siri AI, una aplicación independiente, y una pila de privacidad de tres niveles. Apple presentó Siri AI en WWDC 2026, reconstruido sobre un modelo Gemini personalizado con una aplicación independiente, contexto personal y una arquitectura de privacidad de tres niveles. Ahora puedes preordenar Halo: Campaign Evolved, y llegará antes de lo que piensas. Ahora puedes preordenar Halo: Campaign Evolved, y llegará antes de lo que piensas. Halo Studios ha confirmado un lanzamiento el 28 de julio para Halo: Campaign Evolved, el remake completo de la campaña original de 2001, junto con un arco de precuela de tres misiones llamado Operación: METEORITO. Las reservas ya están disponibles a partir de $49.99. Los AirPods finalmente están obteniendo un ecualizador personalizado para ajustar la experiencia de escucha. Los AirPods finalmente están obteniendo un ecualizador personalizado para ajustar la experiencia de escucha. Apple finalmente te permite ajustar tus AirPods como desees. Una nueva configuración de ecualizador personalizada llegará con iOS 27, para que puedas ajustar los graves, medios y agudos según tu gusto.

Un afiliado de ransomware Qilin explotó una vulnerabilidad de día cero de VPN de Check Point durante un mes antes de que existiera un parche.

Check Point corrigió CVE-2026-50751, una vulnerabilidad crítica de bypass de autenticación de VPN explotada desde el 7 de mayo. Un afiliado de ransomware Qilin la utilizó para atacar a docenas de organizaciones.